供應(yīng)鏈中的信息安全 淺談ERP系統(tǒng)的防護要領(lǐng)
買賣與供求是構(gòu)成這個世界交易和金融體系的基礎(chǔ),而在人口發(fā)展、買賣規(guī)模不斷發(fā)展的情況下,供求關(guān)系也變得越來越復(fù)雜。而在供應(yīng)中,由于牽涉的物品和人員越來越多,供應(yīng)鏈也成了現(xiàn)代供求關(guān)系中重要的一環(huán)。
而隨著信息化的介入,供應(yīng)鏈也面臨著信息化的挑戰(zhàn),其中以來自信息安全方面的挑戰(zhàn)尤為嚴峻。下面就讓信息安全領(lǐng)域的專家山麗網(wǎng)安為您分析現(xiàn)代信息化供應(yīng)鏈管理系統(tǒng)——ERP軟件的同時,去尋找當(dāng)中安全防護的要領(lǐng)吧。
市場的高速發(fā)展 我國的供應(yīng)鏈管理進入EPR時代
當(dāng)今我國市場規(guī)模的不斷發(fā)展,企業(yè)競爭已經(jīng)從單一企業(yè)間的競爭朝著企業(yè)供應(yīng)鏈之間的競爭發(fā)展、企業(yè)僅靠自身資源已經(jīng)無法有效地參與市場競爭,還必須把經(jīng)營過程中的有關(guān)各方納入一個緊密的供應(yīng)鏈中,才能有效地安排企業(yè)的產(chǎn)、供、銷活動,滿足企業(yè)利用全社會一切市場資源快速高效地進行生產(chǎn)經(jīng)營的需求,以進一步提高效率和在市場上獲得競爭優(yōu)勢、針對這一需求,企業(yè)紛紛引進ERP系統(tǒng),構(gòu)建企業(yè)信息化平臺、當(dāng)前ERP系統(tǒng)是指針對物資資源管理、人力資源管理、財務(wù)資源管理、信息資源管理集成一體化的企業(yè)管理軟件、ERP系統(tǒng)實現(xiàn)了對整個企業(yè)供應(yīng)鏈的管理、適應(yīng)了企業(yè)在知識經(jīng)濟時代市場競爭的需要、鑒于ERP系統(tǒng)的巨大優(yōu)勢、目前絕大多數(shù)大型企業(yè)均實現(xiàn)了ERP系統(tǒng)的部署實施、然而,由于互聯(lián)網(wǎng)上存在大量的網(wǎng)絡(luò)攻擊、木馬、蠕蟲等網(wǎng)絡(luò)安全威脅。而ERP系統(tǒng)的正常運行依賴于大量的網(wǎng)絡(luò)傳輸、數(shù)據(jù)處理和消息交互這就阻礙了ERP系統(tǒng)的應(yīng)用與實施、因此,研究ERP系統(tǒng)所面對的安全威脅并采取相應(yīng)措施進行規(guī)避是一項非常重要的課題。
ERP系統(tǒng)信息面臨哪些安全威脅?
安全問題的產(chǎn)生是一個非常復(fù)雜的問題,包含了多種因素的相互作用、總結(jié)起來,企業(yè)ERP系統(tǒng)所面臨的信息安全威脅主要包括來自以下幾個方面的內(nèi)容。
(一)ERP網(wǎng)絡(luò)應(yīng)用的威脅
來自網(wǎng)絡(luò)層面的威脅主要來自遠程訪問企業(yè)內(nèi)部系統(tǒng)所造成的信息泄漏隱患、隨著企業(yè)規(guī)模的不斷擴展,對外的銷售和物流網(wǎng)絡(luò)也隨之?dāng)U大。出差的業(yè)務(wù)員和某些客戶經(jīng)常需要在異地遠程訪問企業(yè)網(wǎng)絡(luò)資源、為此,ERP專門提供了a/s的訪問模式,使得異地用戶能夠使用瀏覽器通過虛擬專用網(wǎng)絡(luò)VPN訪問公司內(nèi)部資源、由于異地訪問行為不受約束,泄密行為時有發(fā)生,因此價值較高的商業(yè)機密有可能流失,比如企業(yè)產(chǎn)品的底價、設(shè)計圖紙等等、此外,內(nèi)部網(wǎng)絡(luò)的竊聽行為也給ERP系統(tǒng)的安全使用造成威脅、ERP系統(tǒng)應(yīng)用時。其服務(wù)器端與客戶端數(shù)據(jù)的傳輸、都是通過明文傳輸?shù)?、用戶只需要在網(wǎng)絡(luò)上安裝一個監(jiān)聽軟件、就可以全面的了解用戶訪問的內(nèi)容。跳過客戶端的權(quán)限設(shè)置,從而達到網(wǎng)絡(luò)數(shù)據(jù)竊聽的目的。
(二)ERP統(tǒng)應(yīng)用的威脅
如果ERP系統(tǒng)本身管理不當(dāng),也不會存在數(shù)據(jù)泄露的危險、從ERP系統(tǒng)的角度出發(fā)。主要的安全威脅就是權(quán)限配置不當(dāng)所造成的。這類威脅主要在敏感數(shù)據(jù)缺乏分級管理機制,比如某個報表,只要有查看權(quán)限的都能夠看到全部信息,并且能夠?qū)С觥_@就給敏感數(shù)據(jù)造成了很大的威脅、此外,很多員工的終端系統(tǒng)密碼設(shè)置較為簡單,大多使用生日或者電話,有的其至使用“12345"等簡單數(shù)字作為密碼,這類密碼強度不高,容易被破解。
(三)ERP統(tǒng)漏洞的威脅
ERP系統(tǒng)的構(gòu)建需要大量的軟硬件系統(tǒng),涉及到網(wǎng)絡(luò)傳輸、Web瀏覽以及服務(wù)總線等多方面的技術(shù),這些技術(shù)的實現(xiàn)需要大量的軟件,軟件不可能避免存在一些已知或者未知的漏洞、黑客能夠利用這些漏洞獲取ERP服務(wù)器的權(quán)限,從而擾亂系統(tǒng)的正常運行,并竊取重要的商業(yè)機密。
保障EPR信息安全的一般措施
ERP系統(tǒng)的安全最重要,為了保障ERP系統(tǒng)在應(yīng)用中的信息安全,針對上述三類威脅,具體來說有以下幾種方法進行應(yīng)對。
(一)網(wǎng)絡(luò)傳輸安全保障ERP系統(tǒng)的傳輸安全可以從兩方面進行強化
(二)信息應(yīng)用安全保障
(三)系統(tǒng)漏洞安全保障
深入防護 數(shù)據(jù)安全還需從本源入手
盡管一般的ERP防護措施已經(jīng)能應(yīng)對企業(yè)大多數(shù)的信息安全問題了,但隨著企業(yè)信息化的深入和國家信息安全問題的擴散,更多意想不到的威脅也會襲來,同時對于企業(yè)的“內(nèi)鬼”一般的防護措施是無法有效地控制的。
所以想要深入的防護,數(shù)據(jù)安全還需更本源、更具針對性。而對于信息和數(shù)據(jù)的安全防護來說,直接作用于數(shù)據(jù)本身的安全技術(shù),防護的效果往往最好。而為了要同時應(yīng)對企業(yè)多樣的防護需求和安全環(huán)境,采用多模加密技術(shù)或成了唯一的選擇。
多模加密技術(shù)采用對稱算法和非對稱算法相結(jié)合的技術(shù),在確保了數(shù)據(jù)本源防護質(zhì)量的同時,其多模的特性能讓用戶自主地選擇加密模式,從而能更靈活地應(yīng)對各種加密需求和安全環(huán)境。而作為這項技術(shù)使用的典型代表,山麗防水墻不僅有功能強大的多模加密模塊來保證企業(yè)數(shù)據(jù)本源防護的效果,而許多兼容屬性和模塊也是它能很好的結(jié)合企業(yè)原本的ERP軟件來達到更好的數(shù)據(jù)管控和安全防護效果。
時代的發(fā)展,使得許多供應(yīng)環(huán)節(jié)產(chǎn)生大量的信息和數(shù)據(jù),人為的處理已經(jīng)跟不上時代了,所以,信息化供應(yīng)鏈管理是企業(yè)發(fā)展的大勢。但是信息化也伴隨著許多風(fēng)險,敏感數(shù)據(jù)和機密數(shù)據(jù)的安全問題就是其中之一,為了更有效地保護這些數(shù)據(jù),采用靈活且具有針對性地加密軟件進行防護是最正確而選擇!
提交
針對NSA對云計算安全影響 數(shù)據(jù)加密是硬道理
“影子IT”信息安全隱患大 云計算發(fā)展受阻
看不見的危機 細數(shù)云計算的數(shù)據(jù)安全隱患
信息化與網(wǎng)絡(luò)安全 這個時代無法逃避的話題
未雨綢繆 企業(yè)數(shù)據(jù)安全防護需要做好萬全準(zhǔn)備